Taloudenhallintapalvelu Balancionin sisäänkirjautumissivulta löytyy tällä hetkellä viesti, jossa kerrotaan, että palvelu on poissa käytöstä maanantaihin asti. Syynä katkokseen on palvelusta löytynyt tietoturvauhka. Balancion tiedotti asiasta beta-käyttäjilleen sähköpostiviestissä torstaina 4.2.2010 klo 21:39 seuraavasti:
Balancionin tehdessä yhteistyökumppaneidensa kanssa jatkuvaa tietoturva- ja käytettävyystestausta, olemme saaneet tietoomme potentiaalisen tietoturvauhkan. Saatuamme tiedon, olemme sulkeneet palvelun ja selvitämme, onko uhka todellinen ja tarvitseeko se toimenpiteitä.Kuten tiedätte, palvelumme käyttäjien tietoturva on meille tärkeintä. Tämän vuoksi olemme äärimmäisen herkkiä reagoimaan kaikkiin niihin tilanteisiin, joissa näemme edes pienenkin uhkan käyttäjiemme tietoturvassa. Pidämme Beta-vaiheessa olevan palvelun suljettuna, kunnes olemme selvittäneet tietoturvauhkan vakavuuden ja tiedämme, oliko uhka todellinen.Tiedotamme asiasta, kun asiaa on tutkittu tarkemmin tietoturvapartnerimme Nixun kanssa ja olemme varmistaneet palvelun turvallisuuden.Balancionin tehdessä yhteistyökumppaneidensa kanssa jatkuvaa tietoturva- ja käytettävyystestausta, olemme saaneet tietoomme potentiaalisen tietoturvauhkan. Saatuamme tiedon, olemme sulkeneet palvelun ja selvitämme, onko uhka todellinen ja tarvitseeko se toimenpiteitä. Kuten tiedätte, palvelumme käyttäjien tietoturva on meille tärkeintä. Tämän vuoksi olemme äärimmäisen herkkiä reagoimaan kaikkiin niihin tilanteisiin, joissa näemme edes pienenkin uhkan käyttäjiemme tietoturvassa. Pidämme Beta-vaiheessa olevan palvelun suljettuna, kunnes olemme selvittäneet tietoturvauhkan vakavuuden ja tiedämme, oliko uhka todellinen. Tiedotamme asiasta, kun asiaa on tutkittu tarkemmin tietoturvapartnerimme Nixun kanssa ja olemme varmistaneet palvelun turvallisuuden.
Tiedote sai jatkoa perjantaina 5.2.2010 klo 15:57:
Suljimme eilen illalla Balancion Beta -palvelun saatuamme tiedon potentiaalisesta tietoturvauhkasta. Haavoittuvuus löytyi tietoturva-asiantuntijoiden testeissä eikä vaaraa tai haittaa käyttäjille ei ole aiheutunut.
Saimme tietoturvatestaajien kautta selville, että Balancionin käyttämän Javan valmiskomponentin tiettyyn osaan liittyy haavoittuvuus. Sen muodostama uhka ei liity Balancion-palveluun. Haavoittuvuus on maailmalla yleinen, mutta yritykset eivät keskimäärin luokittele uhkaa kriittiseksi.
Vaikka tämä uhka ei liity varsinaisesti Balancioniin, teemme viikonlopun aikana käytettyyn komponenttiin lisäsuojauksen, joka suunniteltiin, koordinoitiin ja aikataulutettiin tänään yhdessä tietoturva-asiantuntijoidemme kanssa. Avaamme palvelun jälleen maanantaina.
Balancionia, kuten kaikkia web-palveluita käytettäessä, on tärkeää varmistaa, että käyttäjä käyttää palvelua oikeassa osoitteessa.
Olemme saaneet teiltä Beta-käyttäjiltä runsaasti positiivista palautetta nopeasta reagoinnistamme ja avoimesta tiedottamisesta. Arvostamme kaikkea teiltä tulevaa palautetta suuresti.
IT-Viikko haastatteli perjantaina Balancionin toimitusjohtaja Jussi Muurikaista tietoturvauhkaan liittyen:
– On kysymys Javaan liittyvästä sisäänrakennetusta ongelmasta. Haavoittuvuus on äärimmäisen harvojen tiedossa koko maailmassa, kertoo Balancionin toimitusjohtaja Jussi Muurikainen.
Muurikaisen mukaan sovelluksesta ei ollut vaaraa, jos sitä käytettiin Balancionin palvelun kautta, mutta ulkopuolinen koneelle hyökkäävä saattaisi pystyä hyödyntämään sitä.
Yhtiö rakentaa Java-komponenttiin lisäsuojauksen, joka asentuu Balancionin palvelun käyttäjien tietokoneille automaattisesti seuraavan kerran, kun he käyttävät palvelua.
Muurikainen on kertonut tietoturvauhkasta myös Vierityspalkin blogikirjoituksen Tietoyhteiskunta odottaa pankkeja kommenteissa:
Saimme historian 1. relevantin vihjeen siitä, että eräs osa palvelumme datahaun prosessista saattaa mahdollistaa koodin rikkomisen. Pelkkä aavistus riitti meille ja suljimme palvelun eikä koko tuota prosessia ehditty edes testaamaan. Saimme tiedon asiasta illalla korviimme ja toimimme välittömästi. Voi olla siis, että tämä oli turhankin nopeaa reagointia, mutta se on valitsemamme linjamme.
Hyvää tässä on tietysti se, että pelkkä koodin rikkominen ei sellaisenaan ole kriittinen tietoturvauhka, sillä sen lisäksi palvelumme datahaku varmistaa, että tuo edelleen vasta mahdollinen rikkoutuminen ei sellaisenaan vielä riitä, koska tämän lisäksi palvelumme erinäiset tarkistusprosessit katsovat onko koodiin koskettu ennen kuin “rikottua moottoria” on mahdollista käyttää palvelussamme. Testaamme asiaa huomenna ensin siten, että a) onko tuo koodin murtaminen todella mahdollista, b) jos on, voiko tarkistusprosessia ohittaa. Jos jompaan kumpaan vastaus on kyllä, korjaamme asian.
Tietoturvauhka näyttäisi siis liittyvän Balancionin rakentamaan Java-pohjaiseen selaimeen, jonka avulla käyttäjien tili- ja luottokorttitapahtumat haetaan verkkopankista.
Vain päivää aiemmin Tietokone-lehden Ossi Mäntylahti piti Balancionin selaimen tietoturvaa ongelmallisena:
Pankkitunnusten antaminen kolmannelle osapuolelle on älytön tietoturvariski. Olkoot nämä tahot miten hyvin tietoturvakonsulttien auditoimia tahansa.
Mitä tapahtuu, jos ohjelmointivirheen seurauksena pelkkien tilitietojen hakemisen sijasta appletti tekeekin tililtä pienen viitesiirron – tai mahdollistaa tällaisen tekemisen xss-skriptikiddieille? Esimerkiksi Osuuspankin tilitietoja ei pääse katselemaan ilman kaikkien kolmen tiliin liitetyn tunnuksen syöttämistä (käyttäjätunnus, salasana ja vaihtuva numerokoodi).
Balancionin pitäisi olla taas käytössä maanantaina 8.2.2010.
Muualla verkossa:
- Balancion sulki verkkopalvelunsa tietoturvauhan vuoksi
- Balancion paikkaa Java-aukkoa viikonlopun yli
- Case Balancion: Pihtaavatko pankit tilitietoja, vai suojelevatko asiakkaitaan?
- Kohuttu Balancion kiinni tietoturvariskin takia
Disclaimer: Balancion on mainostanut Tarkan markan blogissa joulukuussa 2009.